En Bit2Me nos encanta la cultura hacker. Nos sentimos muy identificados con esta corriente que forma parte del ADN de nuestra empresa. Tanto es así que, algunos de nosotros participamos en hackathones y jornadas de CTFs (Capture-The-Flag). Desde Bit2Me siempre estamos dispuestos a colaborar y organizar eventos alineados con este pensamiento.
Con el objetivo de que la sociedad camine hacia un mundo donde las criptomonedas como Bitcoin tengan mayor aceptación trabajamos para construir la mejor plataforma del mundo para criptomonedas.
Esto nos ayudará a convertir un mundo mucho más justo y democrático, sin monopolio del dinero, como actualmente ocurre con el dinero de los bancos centrales. En el que unos pocos esclavizan al resto de la humanidad por la manera de funcionar que tiene.
Somos conscientes del ritmo frenético que una startup como la nuestra puede tener (actualizaciones, nuevos productos, ...) Como seres humanos, también somos conscientes de que no somos perfectos y podemos olvidar alguna cosa.
Por ello, comunidad hacker, este documento es un llamamiento para vosotros. Ponemos a vuestra disposición el mejor bug bounty que hemos podido crear, teniendo en cuenta el tamaño actual de nuestra compañía. A medida que crezcamos iremos actualizando.
Una pregunta normal que te puedes hacer, y con razón, es: ¿Cómo puedo estar seguro/a de que Bit2Me será sincero al rechazar la vulnerabilidad justificando que la vulnerabilidad ya fue reportada
Como dice uno de los famosos lemas del mundo de las criptomonedas: “Don’t trust, Verify!"
Como sabéis nos encanta innovar, y nos encanta la tecnología de las criptomonedas. Con esto en mente, y para dar ejemplo con los valores y ventajas que aporta la tecnología Blockchain, toda vulnerabilidad reportada y aceptada, será publicada en Blockchain.
Una vez reportada y aceptada una vulnerabilidad, antes incluso de ser solventada por nuestro equipo, haremos lo siguiente:
Tomaremos toda la información de la vulnerabilidad y crearemos un informe en formato PDF.
Del informe PDF recién creado generaremos una huella digital (hash checksum).
Emitiremos una transacción a la blockchain de Ethereum incluyendo en ella el hash generado del documento.
Esta transacción quedará transparente e inmutable en la red para siempre, siendo totalmente imposible de alterar, y quedando reflejo en el momento justo en que fue creada.
Si ese hash existía en ese momento, quiere decir que el documento, y con ello la información que la conforma, existían también.
Si, posteriormente, alguien nos reporta una vulnerabilidad similar, le entregaremos el informe PDF, y la transacción.
Con el informe podrá generar la huella digital por él mismo y comprobar que ya fue registrado ese hash en el pasado, gracias a la transacción de Ethereum proporcionada, donde podrá ver la fecha exacta de la misma.
Para el hash / checksum del informe usaremos el algoritmo SHA-512.
Hemos limitado la zona de acción para la búsqueda de vulnerabilidades a los siguientes dominios / subdominios:
bit2me.com
account.bit2me.com
wallet.bit2me.com
converter.bit2me.com
converter-app.bit2me.com
explorer.bit2me.com
tikebit.bit2me.com
Envía tu informe al correo electrónico:
Deberás utilizar la siguiente clave pública PGP para cifrar el correo electrónico: https://bit2me.com/bugbounty-pgp.txt
Incluye el mayor número de evidencias posibles: título de la vulnerabilidad explotada, descripción de cada paso en la explotación, herramientas utilizadas en la explotación, versión de navegador, adjunta capturas de pantalla (o incluso video), etc.
Incluye la PoC (prueba de concepto), si la realizaste. Será obligatorio incluir una explicación sobre como corregir la vulnerabilidad reportada
Espera hasta 10 días laborales para que nuestro equipo estudie tu solicitud y recibir una respuesta sobre si hemos aceptado tu solicitud. En caso de ser aceptada, se te abonará la recompensa en el plazo estipulado en la Política de respuestas (*ver política de respuestas).
Bit2Me hará, siempre, todo lo posible para seguir la siguiente política de respuesta ante las solicitudes enviadas por los hackers que participen en nuestro programa:
Nuestro tiempo máximo para respuestas sobre la aceptación de la vulnerabilidad (desde el recibimiento del informe) es de: 10 días laborales
El tiempo máximo para realizar el pago de la recompensa (desde respuesta sobre aceptación): 10 días laborales.
Los pagos pueden ser realizados de diferentes formas:
Criptomonedas: Nos encantan las criptomonedas y, si a ti también te gustan, será un placer pagarte la recompensa en criptomonedas como Bitcoin, Ethereum, Monero u otras.
Transferencia bancaria.
Paypal.
Las recompensas otorgadas por Bit2Me oscilan entre 50€ para vulnerabilidades bajas hasta 5.000€ para las altamente críticas.
Las recompensas normales serán administradas en base al CVSS v3.1 Score de la vulnerabilidad:
Para vulnerabilidades que, desde el equipo interno de ciberseguridad de la compañía, consideremos MUY críticas, Bit2Me cuenta con una recompensa especial de 5.000€.
Nota: Si el informe no incluye una PoC (prueba de concepto) válida, la calificación de recompensa será decidida acorde a la reproducibilidad y severidad de la vulnerabilidad, y la cantidad de la recompensa podrá reducirse significativamente.
Todas aquellas personas, o entidades, que notifiquen vulnerabilidades que sean recompensadas serán publicadas, si así lo desean.
¡Sé el primero en aparecer aquí!
¿Ha sido útil esta respuesta? Sí No
Enviar comentario